Obtention d'un certificat SSL intermédiaire

Est-il possible d'acheter un certificat intermédiaire pour l'utiliser pour signer des certificats de sous-domaine? Il doit être reconnu par les navigateurs et je ne peux pas utiliser de certificat générique.

La recherche n'a rien révélé jusqu'à présent. Quelqu'un délivre-t-il de tels certificats?

Le problème est que l'infrastructure et l'implémentation actuellement utilisées ne prennent pas en charge les certificats intermédiaires qui sont limités à certains (sous-) domaines seulement. Cela signifie en fait que vous pouvez utiliser n'importe quel certificat intermédiaire pour signer n'importe quel certificat que vous souhaitez et que les navigateurs lui feront confiance, même s'il s'agit de certificats pour des domaines que vous ne possédez pas.

Ainsi, ces certificats intermédiaires ne sont délivrés qu'à des organisations vraiment dignes de confiance, quoi que cela signifie (mais beaucoup d'argent est probablement impliqué).

Non, car ce serait une violation du certificat d'origine - les navigateurs feraient confiance à vos certificats et vous pourriez commencer à émettre des trucs pour google.com etc. - et si vous le faites intelligemment, vous ne serez pas facile à obtenir.

Les autorités de certification intermédiaires ont beaucoup de pouvoir. Une autorité de certification intermédiaire est une autorité de signature de certificat - qui est approuvée via le certificat racine - et rien dans la spécification ne permet de limiter l'autorité de certification subordonnée.

En tant que tel, aucune organisation de certification réputée ne vous en donnera un.

Il est / était possible d'acheter une autorité de certification valide auprès de GeoTrust.

Je n'ai pas pu trouver le produit sur les pages anglaises, mais voici une version archivée:

http://archive.is/q01DZ

Pour acheter GeoRoot, vous devez répondre aux exigences minimales suivantes:

• Valeur nette de 5 M $ ou plus
• Un minimum de 5 M $ en assurance erreurs et omissions
• Statuts constitutifs (ou similaires) et un certificat de titulaire fourni
• Un énoncé de pratique de certificat (CPS) écrit et maintenu
• Un périphérique compatible FIPS 140-2 niveau 2 (GeoTrust a établi un partenariat avec SafeNet, Inc.) pour générer et stocker vos clés de certificat racine
• Un produit CA approuvé de Baltimore / Betrusted, Entrust, Microsoft, Netscape ou RSA

Le produit est toujours disponible sur leur page allemande:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

(Ceci est une nouvelle réponse à une vieille question car je pense que cela aide à comprendre qu'il n'y a pas de "magie" derrière les certificats et l'autorité de certification)

Dans le prolongement de la réponse approuvée donnée par @Steffen Ullrich

Le certificat complet pour identifier les sites Web n'est qu'une affaire d'argent. Les certificats X509 sont définis (entre autres) par RFC5280 et n'importe qui peut être une autorité de certification racine ou une autorité de certification intermédiaire, tout dépend de la confiance que vous avez envers cette entité.

Par exemple: si vous êtes dans un domaine Active Directory, votre contrôleur de domaine principal est une autorité de certification racine approuvée par défaut. Pendant ce temps, aucun autre tiers n'est impliqué.

Sur le large Internet, l'enjeu est d'identifier "à qui vous pouvez faire confiance" car il est bien plus grand qu'une seule entreprise. Et par conséquent, les fournisseurs de navigateurs fournissent une liste arbitraire personnalisée d'autorité de certification racine à laquelle il fera confiance sans demander votre consentement.

C'est-à-dire: si vous avez une très bonne relation avec la fondation Mozilla, votre propre autorité de certification racine arbitraire auto-signée pourrait être ajoutée à cette liste dans la prochaine version de leur navigateur Firefox ... Tout simplement parce qu'ils l'ont décidé!

De plus, il n'y a pas de RFC qui définissent le comportement et les règles sur le comportement des navigateurs concernant les certificats. Il s'agit d'un consensus implicite que parce que le "CN" du certificat est égal au nom de domaine, il est censé correspondre.

Parce que cela n'était pas suffisant à un moment donné, les fournisseurs de navigateurs ont tous implicitement considéré qu'un certificat générique du formulaire *.domain.comcorrespondrait à n'importe quel sous-domaine. Mais cela ne correspond qu'à un seul niveau: non, sub.sub.domain.compourquoi? Parce qu'ils l'ont décidé.

Maintenant, à propos de votre question initiale, qu'est-ce qui empêcherait que votre certificat de domaine principal soit autorisé à créer des sous-certificats pour vos propres sous-domaines, c'est un processus facile à vérifier par le navigateur, obtenant simplement la chaîne de certificats.

La réponse est: rien

(sauf que techniquement, vous devriez avoir un "drapeau" dans votre propre certificat de domaine pour le faire)

Les vendeurs de broswers, s'ils trouvent cela assez pratique, peuvent décider de l'appuyer.

Cependant, revenons à ma première déclaration, c'est une grosse affaire d'argent. Ainsi, les quelques autorités de certification racine qui ont des accords avec les fournisseurs de navigateurs dépensent des sommes importantes pour figurer dans cette liste. Et aujourd'hui, ils récupèrent cet argent parce que vous devez payer pour chaque certificat de sous-domaine individuel ou obtenir un caractère générique qui est beaucoup plus cher. S'ils vous permettaient de créer vos propres certificats de sous-domaine, cela réduirait considérablement leurs bénéfices. C'est pourquoi à partir d'aujourd'hui, vous ne pouvez pas le faire.

Eh bien, vous pouvez toujours, car il s'agirait strictement de certificats x509 valides, mais aucun navigateur ne le reconnaîtrait.